在2019年8月16日,微软正式发布了适用于Office365教育版的Device-based Subscription订阅(以下简称DBS),DBS为教育机构提供了一种更加简便的Apps许可部署方式,这对于过去的部署方法有了很大的效率提升。
简单来说,Proplus许可证有两种,一种是基于设备,阅之后某一台电脑上无论用户是谁,都有正版授权。一种是基于用户,和用户名绑定,在不同电脑上,只要登录帐号就能用。
在过去,Proplus许可证一般通过Device Based Activation (以下简称DBA) 部署. 因此我想介绍一下DBS与DBA的不同之处,以及如何为机构配置和部署DBS。 我还将介绍如何从DBA迁移到DBS。 需要注意的是,DBA和DBS本质上实现了相同的结果:为Apps客户端提供一种有效的激活方法,主要是为了适应教育机构中,在该机构中,计算机实验室和信息设备比商业部门更为常见。
目录:
1.DBA与DBS的对比
2.部署DBS的先决要求
3.前期条件的准备
4.部署Microsoft 365 Apps
5.测试部署和最终用户体验
6.OSD怎么样?
7.如何从DBA迁移到DBS
8.MacOS怎么样?
9.参考
一. DBA与DBS与SCA(Shared Computer Activation)前面说过,DBS和DBA的目的是相同的,那么,如果目的是相同的,为什么还要改变部署技术?原因有很多,但是我认为最大的因素是方便获取实时更新和客户支持。 DBA本质上是一个现场解决方案,旨在帮助教育机构快速地将Office 365 Apps客户端部署到电脑设备,以便于学生和教职员工可以快速的利用Office 365的最新功能,而不必运行功能受限的旧版Office 2013 /2016/2019客户端。但是,如果使用DBA激活的Microsoft 365 Apps客户端存在某些问题,则客户支持会受到限制。像大多数Microsoft解决方案一样,Premier / CSS不支持DBA。因此,如果Microsoft 教育团队的客服无法协助您解决问题,那么基本上就是需要一个人来解决问题。实际上,关于DBA的有关问题在 docs.microsoft.com上没有一般化的技术文档。这意味着你只能通过自身实践来解决所遇到的所有问题。
创建DBS的目的是获得DBA相同的结果,但是却是以受客户支持的方式。相对来说,DBS和DBA比较有以下优点
1.对所有的国家都完全支持,而过去的DBA只支持美国
2.不依赖于专属工具来部署,转而使用官方的Office Deployment Tool
3.除非管理员使用PowerShell脚本授予用户中的DBA Web服务密码重置功能,否则Office不会激活
4.使用标准的configuration.xml配置文件来直接部署Office
5.完整的Premier / CSS支持,包括docs.microsoft.com上的技术文档
6.不需要特殊的Office 365 A1 Plus许可证
7.为使用OPPTransition激活的每台设备创建的用户帐户数量,不会使Azure AD数量超出购买的FTE
SCA已经存在了很多年,但是它并不能完全解决教育机构面临的挑战。 根据配置文件,它仍然需要联网并在启动时登录用户。 我们不能强制所有学生在放学后将设备放在家中时都能成功联网。 但是,对于VDI或RDS方案,SCA仍然是一个不错的选择。
备注:Office Device Based Activation,简称DBA,参考资料:https://boards.microsoft.com/public/prism/80710/category/34626?token=f55452094b
二.部署DBS的先决要求
1.有效的Microsoft 365 Apps,Office 365 A3/A5或Microsoft A3/A5订阅
2.在管理员面板添加Microsoft 365 Apps for Education (device)许可证
3.确保系统版本windows 10 1803以上
4.确保Microsoft 365 Apps版本1907以上
5.确保你的设备已经加入Azure AD或者Hybrid Azure AD
6.最新版本的Office Deployment Tool (ODT)
7.最新版本的Microsoft 365 Apps ADMX Templates
三.前期条件的准备
1.获取Microsoft 365 Apps for Education (device)许可证
首先是需要确保你有足够的许可证。 我们需要将“ Microsoft 365 Apps for Education (device)” 许可证添加到我们的全局中。 为此,您必须向Partner提交请求。 最多可以请求使用Microsoft 365 Apps或Office / Microsoft 365 A3 / A5许可的教育合格用户(FTE)数量的40倍。
成功添加后,你会你的新版管理员中心界面看到Microsoft 365 Apps for Education (device)许可证
2.确保确保你的设备已经加入Azure AD或者Hybrid Azure AD
部署Hybrid Azure AD是一个非常复杂的过程,一般的设备管理员都不需要,所以只需要确保你的设备已经加入Azure AD就可以
3.为你的设备创建一个设备组
这不是一个非常复杂的过程,如果你之前有看过我创建sharepoint站点的文章就可以理解,其实一个sharepoint站点就是一个独立的组, 我们可以手动从Azure AD创建一个组,并临时添加设备。我们还可以创建一个动态组,这样会方便所有设备都将自动加入。 要添加到决策过程中,可以在多个管理中心中创建组。 可以在Microsoft管理中心中创建组,可以在Azure AD(AAD)中创建组,也可以在Intune中创建组! 如果已经有一个现有的组,那么也可以直接利用。
我们在这里就创建一个名为DBS的组
注意我们的Group Type要选择Security,Membership选择Dynamic Device,然后选择add dynamic query,都按我图中的填写
如果你都填写正确的话,那么下面syntax内容应该是类似(device.deviceOSType -contains “Windows”) and (device.deviceOSVersion -match “[10][.][0][.]1713[4-9]|171[4-9]\d|17[2-9]\d{2}|1[8-9]\d{3}|[2-9]\d{4}|\d{6,}”)
然后我们保存创建即可
上面的数值有点复杂,但对于帮助我们引入Windows 10 1803及更高版本的所有设备而言是必不可少的。 在AAD中,动态查询是使用字符串创建的。 因此,运算符“ <”和“>”不起作用。我们引入所有Windows设备1803及更高版本,因为这是DBS可以使用的先决条件。 如果仅保留OSVersion,则可能会拉出我们不想使用的其他设备,例如iOS和Android设备。 创建后,根据AAD中符合条件的设备数量,可能需要一些时间才能填充。 如果还没有AAD加入的计算机,则您的组将不会填充任何东西。
4.将许可证分配给DBS组
进入订阅界面,选择Assign licenses
然后选择Assign licenses to a group
然后选择Assign分配
5.配置Microsoft 365 Apps以使用device的许可
我们有两种方法可以配置Microsoft 365应用程序以使用新的device的许可。 我们可以使用Office部署工具(这是说我们将要使用configuration.xml的一种很好的方式),也可以使用组策略/ MDM。 接下来将展示configuration.xml方法。
我们需要下载Office Customization Tool
这是一种新的office部署工具,它与我们在部署旧的批量许可的基于MSI的Office安装(2010/2013/2016)时使用的Office自定义工具不同。 通过使用XML格式的配置文件而不是自定义的.msp安装程序,此新版本可以联机且更智能化。 我们将使用它来定义我们的configuration.xml,但这不是必要的。 如果对配置文件和预期行为的特定属性或元素有疑问,请参考Microsoft官方文档以手工编辑configuration.xml或做出更合适的决定。
2.登录帐号
3.选择Customization
4.然后点create创建一个xml文件并且起一个名字
在版本界面建议选择64位,32位我没有尝试
在product界面选择Microsoft 365 Apps,visio和project理论也可以,但是我没有尝试
Update channel根据你的要求选择就可以,可以月度更新,也可以半年度更新,然后选择你需要的版本
接下是选择应用,这里建议取消OneDrive (Groove) 和onenote,因为这两个程序都是破旧而且要被剔除office更新序列的程序
语言界面选择你需要的语言就可以,我默认选择英语
在Installation界面,可以选择你所在的地区,或者直接根据CDN来判断你在的位置保证下载速度,推荐使用CDN就可以,微软的office更新在CDN方面遍布全球,速度非常快
更新界面下按照你的需求选择就可以
Licensing and activation界面是部署DBS的关键所在
我们要先选择接受EULA
然后在Product Activation界面选择Device based
然后我们选择成功后下载xml文件即可
然后我们用记事本打开你的文件
会发现上面有一处<Property Name=“DeviceBasedLicensing” Value=“1” />
这会在安装时,将你的注册表文件HKLM\SOFTWARE\Microsoft\Office\ClickToRun\Configuration\O365ProPlusRetail.DeviceBasedLicensing数值改成1
至此,所有前期准备部署过程已经完备
四.部署Microsoft 365 Apps
有许多方法可以部署Microsoft 365应用程序。 我将重点介绍如何通过Microsoft Endpoint Manager(ConfigMgr和Intune)进行操作,这将简化Office的部署过程。
ConfigMgr Deployment
许多教育机构都使用ConfigMgr作为其主要设备管理解决方案。 要将具有基于设备的许可的Microsoft 365 Apps部署到客户端,请遵循以下说明。
“如果您希望在部署后使用ConfigMgr来管理Microsoft 365 Apps更新,请确保确认您选择了希望更新来自Configuration Manager中的Configuration Manager。 将属性值改为OfficeMgmtCOM =“ True”
打开ConfigMgr控制台,选择Software Library, Office 365 Client Management, 点击Office 365 Installer
输入你的应用程序名,简介,和内容所在的位置
选择next,然后在Office Customization Tool界面,因为我们之前已经有了xml文件,所以直接选择导入然后预览
然后点击next,可以选择是否部署应用程序。 如果熟悉ConfigMgr,可以像往常一样选择设备的目标集合(但请确保其设备与我们之前创建的AAD组中许可的设备相同!)。 如果需要熟悉在ConfigMgr中的应用程序部署,请参考:https://docs.microsoft.com/en-us/configmgr/apps/deploy-use/deploy-applications
稍等一会,ConfigMgr就会创建完文件目录,大概如下图所示
确保使用的是最新版本的ConfigMgr,要知道从1602版开始,ConfigMgr团队引入了一种新方法来帮助管理Microsoft 365 Apps Client更新。 Office 365客户端管理节点现在为您的Microsoft 365 Apps客户端提供控制台内视图。 借助图表和图形可以使用户满意,而且可以快速查看环境中Microsoft 365 Apps客户端的状态。参考:https://docs.microsoft.com/zh-cn/sccm/sum/deploy-use/manage-office-365-proplus-updates
下面,将展示最终的效果,以验证我们的配置和部署是否正常运行。
Intune
我们还可以使用Intune部署具有基于设备的许可的Microsoft 365 Apps。 这对于完整的AAD连接的计算机很有用,但对于共同管理的Hybrid AAD连接的计算机也很有用。
1.打开Microsoft Endpoint Manager管理中心
2.在apps,all app处选择add,然后在add type界面选择windows10和office365 suite
3.现在,可以选择使用Configuration designer或在“设置”格式下输入XML数据。Configuration designer非常好,但是在撰写本文时,基于设备的许可证选项尚未在UI中公开。 目前,由于我们已经创建了XML,因此我们将继续输入XML数据
4.输入XML数据后,将XML内容从XML复制并粘贴到配置文件文本中
5.点击OK后选择add,会进入刚创建的应用程序的“概述”页面。 现在,我们需要将应用程序分配给一组设备。单击分配。
6.点击添加组,选择Assignment type,选择require强制,然后在选择组界面,选择你要分配的组
7.点击下一步然后保存即可
其余第三方工具
如果使用其他部署技术,则必须依靠使用Office部署工具包,下载setup.exe并使用/configure选项来引用您的configuration.xml。 Setup.exe将下载必要的位置,并允许打包应用程序并使用通常使用的管理工具来部署应用程序。参考:
Overview of the Office Deployment Tool
Configuration options for the Office Deployment Tool
五.测试部署和最终用户体验
至此,我们已经准备好了部署条件,按照自己的喜好配置了Office安装,并根据首选的部署技术创建了部署,现在是时候测试安装并验证最终用户体验是我们所需要的。
此时安装Office会发生什么情况,即在安装客户端时,将写入正确的注册表项,该注册表项将指示Office Licensing Service与设备所加入的特定用户联系,以查找有效的许可证。它的组成员身份。如果找到有效的许可证,它将通过OLS将该信息传递回设备,并将客户端注册到“此设备”,我们在启动Office客户端并查看注册所有者时将看到该许可证。这是一个非常复杂的过程。
看到Office已成功安装后,让我们检查注册表以查看密钥是否存在。果然,根据配置,存在DeviceBasedLicensing密钥并将其设置为值“ 1”。
我们现在打开office客户端,点击账户,会看到从属于此设备
六.OSD怎么样
我经常听到这个问题。我建议看一下Autopilot,以了解将来的Windows部署需求,因为我们可以直接加入AAD部署设备。
DBS的诀窍是,我们必须在部署后及时将设备记录到AAD中,以便许可证在第一个登录该设备的用户启动Office产品之前生效。如果Microsoft 365 Apps客户端在使用前未获得适当的许可,则最终用户将处于“缩减功能”模式。
如果您是首次测试HAADJ,并且在完成安装后的30分钟内登录(无论是否使用SCCM),则很可能会遇到设备未进行HAADJ的状态。如果您安装并让设备等了一会儿(30分钟以上)然后登录,则连接很可能会成功。这是因为在用户登录时或在触发用户设备注册事件ID 4096时触发了Microsoft> Windows> Workplace Join>自动设备连接计划任务,我不知道何时触发这个过程。如果在AAD connect有机会同步计算机对象之前登录,则将无限期等待。此时最好注销登录。在大多数情况下,这应该不成问题,因为一旦设备域加入HAADJ进程就排队了,并等待AAD连接同步。正常登录的用户将在为新设备安装后30分钟后登录。另外请注意,这种延迟确实发生在没有在AAD中记录设备的新设备上。
七.如何从DBA迁移到DBS
如果您当前正在使用Microsoft 365 with DBA,则不需要重新安装Microsoft 365应用程序!
只要设备满足先决条件(Win10 1803或更高版本,安装的Microsoft 365 Apps是1907或更高版本,并且该设备已加入Hybrid AAD或已加入完整AAD),那么就可以使用了。 只需添加简单的注册表项,即可将当前Office安装从基于用户的(实际上是DBA)转移到基于新设备和真正的DBS设备,而对最终用户没有影响。
我们可以通过使用用于部署reg密钥更改的组策略方法来实现此目的,或者可以将配置项与ConfigMgr一起使用来设置密钥。 根据官方文件请注意:
若要使用此策略设置,请从Microsoft下载中心下载适用于Microsoft 365应用程序的管理模板文件(ADMX / ADML)的版本4909.1000(或更高版本)。 版本4909.1000已于2019年9月5日发布。
您可以利用管理模板中的“对Microsoft 365应用程序使用基于设备的许可证”策略设置来设置适当的注册表项。 可以在“计算机配置\策略\管理模板\ Microsoft Office 2016(计算机)\许可设置”下找到此策略设置。 相关的注册表项是HKLM \ SOFTWARE \ Microsoft \ Office \ ClickToRun \ Configuration \ O365ProPlusRetail.DeviceBasedLicensing,其值为“ 1”。
注意:部署注册表项并生效后,如果您具有用户激活的Microsoft 365 Apps客户端,则仍会消耗用户许可证。 最终用户将需要通过其O365门户登录名取消以其名称激活的任何设备的许可证,以收回该许可证。
八.MacOS怎么样?
DBS不支持MAC OS设备,目前,将MAC OS加入到AAD有限制,可以选择将MAC OS设备加入动态组中来获取的准确的许可证
九.参考
New and flexible way to use Microsoft 365 Apps on your shared devices
https://myignite.techcommunity.microsoft.com/sessions/81656?source=sessions
PointDrive of curated Microsoft 365 Apps DBS Resources
Troubleshooting device-based licensing for Microsoft 365 Apps
Microsoft Office 365 ProPlus Device Based Subscription Activation for UI IT Pros
文章有(2)条网友点评
@ 微软office365教育许可计划-G-Suite 盗链有意思?
[…] 有关DBS的配置可以参考我上一篇文章:基于Office365教育版的Apps设备许可证部署 […]